Installer manuellement un certificat de périphérique personnalisé

Vous pouvez installer manuellement un certificat de périphérique personnalisé (CDC) sur le téléphone en téléchargeant le certificat à partir de la page Web d'administration du téléphone.

Avant de commencer

Avant de pouvoir installer un certificat de périphérique personnalisé pour un téléphone, vous devez disposer des éléments suivants :

  • Un fichier de certificat (.p12 ou .pfx) enregistré sur votre PC. Le fichier contient le certificat et la clé privée.
  • Le mot de passe d'extraction du certificat. Le mot de passe est utilisé pour déchiffrer le fichier de certificat.
1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Certificat.

3

Dans la section Ajouter un certificat , cliquez sur Parcourir....

4

Trouvez le certificat sur votre PC.

5

Dans le champ Extraire le mot de passe, saisissez le mot de passe extrait du certificat.

6

Cliquez sur Télécharger.

Si le fichier de certificat et le mot de passe sont corrects, vous recevrez le message « Certificat ajouté". Sinon, le téléchargement échoue avec un message d'erreur indiquant que le certificat ne peut pas être téléchargé.
7

Pour vérifier les détails du certificat installé, cliquez sur Afficher dans la section Certificats existants.

8

Pour supprimer le certificat installé du téléphone, cliquez sur Supprimer dans la section Certificats existants.

Une fois que vous avez cliqué sur le bouton, l'opération de suppression commence immédiatement sans confirmation.

Si le certificat est supprimé avec succès, vous recevrez le message « Certificat supprimé. ».

Installer automatiquement le certificat de périphérique personnalisé par SCEP

Vous pouvez configurer les paramètres SCEP (Simple Certificate Enrollment Protocol) pour installer automatiquement le certificat de périphérique personnalisé (CDC), si vous ne souhaitez pas télécharger manuellement le fichier de certificat ou si vous ne disposez pas du fichier de certificat.

Lorsque les paramètres SCEP sont correctement configurés, le téléphone envoie des requêtes au serveur SCEP et le certificat d'autorité de certification est validé par le périphérique à l'aide de l'empreinte digitale définie.

Avant de commencer

Avant de pouvoir effectuer une installation automatique d'un certificat de périphérique personnalisé pour un téléphone, vous devez disposer des éléments suivants :

  • Adresse du serveur SCEP
  • Empreinte SHA-1 ou SHA-256 du certificat CA de certification racine du serveur SCEP
1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Certificat.

3

Dans la section Configuration 1 de PECP , définissez les paramètres comme décrit dans le tableau suivant : Paramètres pour la configuration SCEP.

4

Cliquez sur Envoyer toutes les modifications.

Paramètres de configuration de SCEP

Le tableau suivant définit la fonction et l'utilisation des paramètres de configuration SCEP dans la section Configuration 1 SCEP sous l'onglet Certificat de l'interface Web du téléphone. Elle définit également la syntaxe de la chaîne qui est ajoutée dans le fichier de configuration du téléphone (cfg.xml) pour configurer un paramètre.

Tableau 1. Paramètres de configuration de SCEP
ParamètreDescription
Serveur

Adresse du serveur SCEP. Ce paramètre est obligatoire.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_&gt ;

  • Dans la page Web du téléphone, saisissez l'adresse du serveur SCEP.

Valeurs acceptées : une URL ou une adresse IP. Le schéma HTTPS n'est pas pris en charge.

Valeur par défaut : vide

Empreinte digitale de l'autorité de certification racine

Empreinte SHA256 ou SHA1 de l'autorité de certification racine pour validation au cours du processus SCEP. Ce paramètre est obligatoire.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Dans la page Web du téléphone, saisissez une empreinte digitale valide.

Valeur par défaut : vide

Mot de passe de défi

Le mot de passe de test pour l'autorisation Certificate Authority (CA) sur le téléphone lors de l'enregistrement de certificat via SCEP. Ce paramètre est facultatif.

En fonction de l'environnement SCEP réel, le comportement du mot de passe de défi varie.

  • Si le téléphone reçoit un certificat d'un Cisco RA qui communique avec l'autorité de certification, le mot de passe de défi n'est pas pris en charge par l'autorité de certification. Dans ce cas, Cisco RA utilise les MIC/SUDI du téléphone pour l'authentification afin d'accéder à CA. Le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat.
  • Si le téléphone obtient un certificat en communiquant directement avec l'autorité de certification, le mot de passe de défi est pris en charge par l'autorité de certification. S'il est configuré, il ne sera utilisé que pour l'inscription initiale. Pour le renouvellement du certificat, le certificat installé sera utilisé à la place.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Le mot de passe est masqué dans le fichier de configuration.

  • Dans la page Web du téléphone, saisissez le mot de passe de test.

Valeur par défaut : vide

Configuration des paramètres SCEP via l DHCP option 43

Outre l'inscription de certificat SCEP par les configurations manuelles sur la page Web du téléphone, vous pouvez également utiliser l'option DHCP 43 pour renseigner les paramètres à partir d'un serveur DHCP. L'option DHCP 43 est préconfigurée avec les paramètres SCEP ; par la suite, le téléphone peut récupérer les paramètres sur le serveur DHCP pour effectuer l'enregistrement du certificat SCEP.

  • La configuration des paramètres SCEP via DHCP’option 43 n'est disponible que pour le téléphone sur lequel une réinitialisation d'usine est effectuée.
  • Les téléphones ne doivent pas être placés dans un réseau qui prend en charge à la fois l'Option 43 et la mise à disposition à distance (par exemple, les Options 66,160,159,150, ou la mise à disposition en nuage). Sinon, les téléphones risquent de ne pas obtenir les configurations Option 43.

Pour inscrire un certificat SCEP en configurant les paramètres SCEP dans l'option DHCP 43, procédez comme suit :

  1. Préparer un environnement SCEP.

    Pour plus d'informations sur la configuration de l'environnement SCEP, consultez la documentation de votre serveur SCEP.

  2. Configurez DHCP option 43 (définie dans 8.4 Informations spécifiques au fournisseur, RFC 2132).

    Les sous-options (10 à 15) sont réservées à la méthode :

    Paramètre sur la page Web du téléphoneSous-optionTypeLongueur (octet)Mandatory
    Mode FIPS10booléen1Non*
    Serveur11chaîne208 - longueur (mot de passe du défi)Oui
    Empreinte digitale de l'autorité de certification racine12binaire20 ou 32Oui
    Mot de passe de défi13chaîne208 - longueur (serveur)Non*
    Enable 802.1X Authentication14booléen1Non
    Sélection de certificat15Non signé 8 bits1Non

    Lorsque vous utilisez l'option DHCP 43, notez les caractéristiques suivantes de la méthode :

    • Les sous-options (10 à 15) sont réservées aux certificats de périphérique personnalisé (CDC).
    • La longueur maximale de DHCP option 43 est de 255 octets.
    • La longueur maximale du mot de passe Serveur + Défi doit être inférieure à 208 octets.
    • La valeur du mode FIPS doit être cohérente avec la configuration de l'approvisionnement d'intégration. Sinon, le téléphone ne parvient pas à récupérer le certificat précédemment installé après l'intégration. Spécifiquement
      • Si le téléphone doit être enregistré dans un environnement où le mode FIPS est désactivé, vous n'avez pas besoin de configurer le paramètre Mode FIPS dans DHCP option 43. Par défaut, le mode FIPS est désactivé.
      • Si le téléphone doit être enregistré dans un environnement où le mode FIPS est activé, vous devez activer le mode FIPS dans DHCP option 43. Voir Activer le mode FIPS pour plus de détails.
    • Le mot de passe de l'option 43 est en texte clair.

      Si le mot de passe de défi est vide, le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat. Si le mot de passe de défi est configuré, il n'est utilisé que pour l'inscription initiale et le certificat installé sera utilisé pour le renouvellement du certificat.

    • Activer l'authentification 802.1X et Certificate Select (Activer l'authentification 802.1X) et Certificate Select (Sélect.) ne sont utilisés que pour les téléphones sur réseau câblé.
    • DHCP’option 60 (Vendor Class Identifier) est utilisée pour identifier le modèle d'appareil.

    Le tableau suivant fournit un exemple de DHCP option 43 (sous-options 10 à 15) :

    Sous-option décimale/hexadécimaleLongueur de la valeur (octet) décimale/hexadécimaleValeurValeur hexadécimale
    10/0A1/011 (0 : Désactivé ; 1 : Activé)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0C20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0j16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0 : Non ; 1 : Oui)01
    15/0f1/011 (0 : installé en usine ; 1 : installé sur mesure) 01

    Résumé des valeurs des paramètres :

    • Mode FIPS = Activé

    • Serveur = http://10.79.57.91

    • Empreinte digitale de l'autorité de certification racine = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Mot de passe de défi = D233CCF9B9952A15

    • Activer l'authentification 802.1X = Oui

    • Sélection de certificat = Personnalisé installé

    La syntaxe de la valeur hexadécimale finale est : {<suboption><length><value>}...

    Selon les valeurs des paramètres ci-dessus, la valeur hexadécimale finale est la suivante :

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configurez DHCP option 43 sur un serveur DHCP.

    Cette étape fournit un exemple de configurations de l'option DHCP 43 sur Cisco Network Register.

    1. Ajoutez DHCP jeu de définitions d'options.

      La chaîne d'option fournisseur est le nom du modèle des téléphones IP. La valeur valide est : DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.

    2. Ajoutez l'option DHCP 43 et les sous-options à l'ensemble de définitions d'options DHCP.

      Par exemple :

      Capture d'écran de DHCP option 43 définitions sur Cisco Network Register

    3. Ajoutez les options 43 à la stratégie de DHCP et définissez la valeur comme suit :

      Par exemple :

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Vérifiez les paramètres. Vous pouvez utiliser Wireshark pour capturer une trace du trafic réseau entre le téléphone et le service.
  4. Réinitialisez le téléphone aux valeurs d'usine.

    Une fois le téléphone réinitialisé, les paramètres Server, Root CA Fingerprint et Challenge Password seront renseignés automatiquement. Ces paramètres figurent dans la section Configuration 1 SCEP de Certificat > Personnalisé sur la page Web d'administration du téléphone.

    Pour vérifier les détails du certificat installé, cliquez sur Afficher dans la section Certificats existants.

    Pour vérifier l'état de l'installation du certificat, sélectionnez Certificat > État du certificat personnalisé. L'état de téléchargement 1 affiche le dernier résultat. Si un problème survient lors de l'enregistrement du certificat, l'état de téléchargement peut indiquer la raison du problème à des fins de dépannage.

    Si l'authentification du mot de passe de défi échoue, les utilisateurs sont invités à le saisir sur l'écran du téléphone.
  5. (Facultatif) : pour supprimer le certificat installé du téléphone, cliquez sur Supprimer dans la section Certificats existants.
    Une fois que vous avez cliqué sur le bouton, l'opération de suppression commence immédiatement sans confirmation.

Renouvellement du certificat par SCEP

Le certificat de l'appareil peut être actualisé automatiquement par le processus SCEP.

  • Le téléphone vérifie si le certificat expire dans 15 jours toutes les 4 heures. Si tel est le cas, le téléphone démarre automatiquement le processus de renouvellement du certificat.
  • Si le mot de passe de défi est vide, le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat. Si le mot de passe de défi est configuré, il est utilisé uniquement pour l'inscription initiale, le certificat existant/installé est utilisé pour le renouvellement du certificat.
  • Le téléphone ne supprime pas l'ancien certificat d'appareil tant qu'il n'a pas récupéré le nouveau.
  • Si le renouvellement du certificat échoue parce que le certificat de l'appareil ou l'autorité de certification expire, le téléphone déclenche automatiquement l'inscription initiale. Entre-temps, si l'authentification du mot de passe de défi échoue, un écran de saisie du mot de passe apparaît sur l'écran du téléphone et les utilisateurs sont invités à entrer le mot de passe de test sur le téléphone.

Activer le mode FIPS

Vous pouvez mettre un téléphone aux normes FIPS (normes fédérales de traitement d’informations).

FIPS est un ensemble de normes qui décrivent le traitement des documents, les algorithmes de chiffrement et d’autres normes de technologies de l’information dans le cadre d’une utilisation au sein d’un gouvernement non militaire et par les sous-traitants ou fournisseurs qui collaborent avec ces instances. CiscoSSL FOM (FIPS Object Module) est un composant logiciel soigneusement défini et conçu pour être compatible avec la bibliothèque CiscoSSL, de sorte que les produits utilisant la bibliothèque et la API CiscoSSL peuvent être convertis pour utiliser la cryptographie validée FIPS 140-2 avec un minimum d'effort.

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Système.

3

Dans la section Paramètres de sécurité, choisissez Oui ou Non dans le paramètre Mode FIPS.

4

Cliquez sur Envoyer toutes les modifications.

Lorsque vous activez le mode FIPS, les fonctionnalités suivantes fonctionnent harmonieusement sur le téléphone :
  • Authentification de l’image
  • Stockage sécurisé
  • Chiffrement du fichier de configuration
  • TLS :
    • HTTPS
    • Chargement PRT
    • Mise à niveau du micrologiciel
    • Resynchronisation du profil
    • Service d’intégration
    • Webex d'intégration
    • SIP sur TLS
    • 802.1x (filaire)
  • Résumé SIP (RFC 8760)
  • SRTP
  • Webex des journaux d'appels et du répertoire d’Webex
  • Un bouton à appuyer (OBTP)

Définir les mots de passe utilisateur et admin

Lorsque le téléphone est enregistré pour la première fois dans un système de contrôle d'appels ou lorsque vous effectuez une réinitialisation d'usine du téléphone, vous devez définir les mots de passe utilisateur et administrateur pour renforcer la sécurité du téléphone. Ce n'est que lorsque le mot de passe est défini que vous pouvez soumettre les modifications à partir de la page Web du téléphone.

Par défaut, l'avertissement d'absence de mot de passe est activé sur le téléphone. Si le téléphone ne possède aucun mot de passe utilisateur ou administrateur, les avertissements suivants s'affichent :

  • La page Web du téléphone affiche le message "Aucun mot de passe administrateur fourni. Le Web est en mode lecture seule et vous ne pouvez pas soumettre de modifications. Veuillez changer le mot de passe. » dans le coin supérieur gauche.

    Les champs Mot de passe utilisateur et Mot de passe administrateur affichent respectivement l'avertissement "Aucun mot de passe fourni" s'il est vide.

  • L'écran du téléphone Problèmes et diagnostics affiche le problème "Aucun mot de passe fourni".
1

Accéder à la page web d'administration du téléphone

2

Sélectionnez Voix > Système.

3

(Facultatif) Dans la section Configuration système, définissez le paramètre Afficher les avertissements de mot de passe sur Oui, puis cliquez sur Soumettre toutes les modifications.

Vous pouvez également activer ces paramètres dans le fichier de configuration du téléphone (cfg.xml).

<Display_Password_Warnings ua="na">Oui</Display_Password_Warnings>

Par défaut : Oui

Options : Oui|Non

Lorsque le paramètre est défini sur Non, l'avertissement de mot de passe n'apparaît ni sur la page Web ni sur l'écran du téléphone. En outre, le mode prêt uniquement pour la page Web ne sera pas activé même si le mot de passe est vide.

4

Recherchez le paramètre User Password ou Admin Password, puis cliquez sur Change Password (Modifier le mot de passe ) en regard du paramètre.

5

Saisissez le mot de passe d'utilisateur actuel dans le champ Ancien mot de passe.

Si vous n'avez pas de mot de passe, laissez le champ vide. Aucune valeur par défaut n'est définie.
6

Saisissez un nouveau mot de passe dans le champ Nouveau mot de passe.

7

Cliquez sur Soumettre.

Le message Password has been changed successfully. s'affiche sur la page Web. L'actualisation de la page Web prendra quelques secondes. L'avertissement en regard du paramètre disparaîtra.

Une fois que vous avez défini le mot de passe d'utilisateur, ce paramètre affiche les informations suivantes dans le fichier XML de configuration téléphonique (cfg.xml) :

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Si vous recevez le code d'erreur 403 lorsque vous tentez d'accéder à la page Web du téléphone, vous devez définir le mot de passe utilisateur ou administrateur par mise à disposition dans le fichier de configuration du téléphone (cfg.xml). Par exemple, entrez une chaîne au format suivant :

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Authentification 802.1x

Les téléphones IP Cisco prennent en charge l’authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de connexion directe à EAPOL. Grâce à ce mécanisme, un poste de travail raccordé au téléphone IP Cisco peut faire passer des messages EAPOL à l’authentifiant 802.1X et au commutateur LAN. Le mécanisme de connexion directe assure que le téléphone IP n’agisse pas en tant que commutateur LAN pour authentifier un terminal de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion d’EAPOL par proxy. Si l’ordinateur raccordé localement est déconnecté du téléphone IP, le commutateur LAN ne détecte pas l’interruption de la liaison physique, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l’intégrité du réseau, le téléphone IP envoie au commutateur un message EAPOL-Logoff au nom de l’ordinateur en aval, pour que le commutateur LAN efface la valeur d’authentification correspondant à l'ordinateur en aval.

La prise en charge de l’authentification 802.1X requiert plusieurs composants :

  • Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.

  • Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.

  • Commutateur : le commutateur doit prendre en charge la norme 802.1X, afin de pouvoir agir comme authentifiant et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

  • Configurez les autres composants avant d'activer l’authentification 802.1X sur le téléphone.

  • Configure PC Port (Configurer le port PC) : La norme 802.1X ne tenant pas compte des VLAN, il est recommandé qu’un seul périphérique soit authentifié pour un port de commutation donné. Toutefois, certains commutateurs prennent en charge l’authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez brancher un ordinateur dans le port PC du téléphone.

    • Activé : si vous utilisez un commutateur qui prend en charge l'authentification multi-domaine, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge la déconnexion d’EAPOL par proxy pour surveiller les échanges d’authentification entre le commutateur et l’ordinateur relié.

      Pour obtenir plus d’informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco, disponibles à l'adresse :

      Http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Désactivé : si le commutateur ne prend pas en charge plusieurs périphériques conformes à 802.1x sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1x est activée. Si vous ne désactivez pas ce port et tentez ensuite d’y raccorder un ordinateur, le commutateur refusera l'accès réseau au téléphone et à l’ordinateur.

  • Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
    • Activé : si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
    • Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
  • (Pour téléphone de bureau Cisco série 9800 uniquement)

    Le PID du téléphone de bureau Cisco 9800 Series comporte un préfixe différent de celui des autres téléphones Cisco. Pour activer votre téléphone avec succès l'authentification 802.1x, définissez le Rayon· Nom d'utilisateur pour inclure votre téléphone de bureau Cisco série 9800.

    Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez définir Radius· Nom d'utilisateur commençant par DP ou contient DP. Vous pouvez le définir dans les deux sections suivantes :

    • Stratégie > Conditions > Conditions de la bibliothèque

    • Stratégie > Ensembles de stratégies > Autorisation Stratégie > Règle d'autorisation 1

Activer l'authentification 802.1X

Lorsque l'authentification 802.1X est activée, le téléphone utilise l'authentification 802.1X pour demander l'accès réseau. Lorsque l'authentification 802.1X est désactivée, le téléphone utilise Cisco Discovery Protocol (CDP) pour obtenir un accès réseau et VLAN. Vous pouvez également afficher l'état et la modification de la transaction dans le menu de l'écran du téléphone.

Lorsque l'authentification 802.1X est activée, vous pouvez également sélectionner le certificat de l'appareil (MIC/SUDI ou personnalisé) pour l'inscription initiale et le renouvellement du certificat. En général, MIC est utilisé pour le téléphone vidéo Cisco 8875, SUDI pour le téléphone de bureau Cisco série 9800. CDC ne peut être utilisé pour l'authentification que dans 802.1x.

1

Effectuez l'une des actions suivantes pour activer l'authentification 802.1 X :

  • Dans l'interface Web du téléphone, sélectionnez Système> voix et définissez le paramètre Enable 802.1X Authentication (Activer l'authentification 802.1X) sur Oui. Cliquez ensuite sur Envoyer toutes les modifications.
  • Dans le fichier de configuration du téléphone (cfg.xml), entrez une chaîne au format suivant :

    <Enable_802.1X_Authentication ua="rw">Oui</Enable_802.1X_Authentication>

    Valeurs valides : Oui | Non

    Paramètre par défaut : non

  • Sur le téléphone, appuyez sur Paramètres the Settings hard key, puis accédez à Réseau et service > Paramètres de sécurité> Authentification 802.1x. Activez le champ Authentification dupériphérique et sélectionnez Appliquer.
Tableau 2. Paramètres de l'authentification 802.1X sur l'écran du téléphone

Paramètres

Options

Par défaut

Description

Authentification du périphérique

Activé

Désactivé

Désactivé

Activer ou désactiver l'authentification 802.1X sur le téléphone.

État de la transaction

Désactivé

Affiche l'état de l'Authentification 802.1x. L'état peut être (sans s'y limiter) :

  • En cours d'authentifiaction : indique que le processus d'authentification est en cours.
  • Authentifié : indique que le téléphone est authentifié.
  • Désactivé : indique que l'authentification 802.1 x est désactivée sur le téléphone.

Protocole

Aucun

Affiche la méthode EAP utilisée pour l'Authentification 802.1X. Il peut s’agir du protocole EAP-FAST ou EAP-TLS.

Type de certificat utilisateur

Installation de fabrication

Installé sur mesure

Installation de fabrication

Choisissez le certificat pour l'authentification 802.1X lors de l'inscription initiale et du renouvellement du certificat.

  • Installé en usine : le certificat installé en usine (MIC) et l'identifiant SUDI (Secure Unique Device Identifier) sont utilisés.
  • Personnalisé installé : le certificat CDC (Custom Device Certificate) est utilisé. Ce type de certificat peut être installé par téléchargement manuel sur la page Web du téléphone ou par installation à partir d'un serveur SCEP (Simple Certificate Enrollment Protocol).

Ce paramètre apparaît uniquement sur le téléphone lorsque l'authentification du périphérique est activée.

2

Sélectionnez un certificat (MIC ou personnalisé) pour l'authentification 802.1X sur la page Web du téléphone.

  • Pour un réseau câblé, sélectionnez Système> voix, choisissez un type de certificat dans la liste déroulante. Certificat sélectionné dans la section Authentification 802.1X.

    Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

    <Certificate_Select ua="rw">Installé sur mesure</Certificate_Select>

    Valeurs valides : Fabrication installée|Installé sur mesure

    Valeur par défaut : Installation en usine

  • Pour un réseau sans fil, sélectionnez Système> vocal, choisissez un type de certificat dans la liste déroulante. Certificat sélectionné dans la section Wi-Fi Profil 1.

    Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

    <Wi-Fi_Certificate_Select_1_ ua="rw">Installé sur mesure</Wi-Fi_Certificate_Select_1_>

    Valeurs valides : Fabrication installée|Installé sur mesure

    Valeur par défaut : Installation en usine

Pour plus d'informations sur la sélection d'un type de certificat à l'écran du téléphone, voir Connecter votre téléphone à un réseau Wi-Fi.

Activer le mode initié par le client pour les négociations de sécurité du plan média

Pour protéger les sessions multimédias, vous pouvez configurer le téléphone pour qu'il initie les négociations de sécurité du plan de support avec le serveur. Le mécanisme de sécurité suit les normes énoncées dans la RFC 3329 et son projet d'extension Security Mechanism Names for Media (Voir https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Le transport des négociations entre le téléphone et le serveur peut utiliser le protocole SIP sur UDP, TCP et TLS. Vous pouvez limiter la négociation de la sécurité du plan de support pour qu'elle ne s'applique que lorsque le protocole de transport de signalisation est TLS.

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Poste(n).

3

Dans la section Paramètres SIP, définissez les champs Demande MediaSec et MediaSec sur TLS uniquement comme défini dans le tableau suivant :

Tableau 3. Paramètres de négociation de sécurité du plan média
ParamètreDescription

Demande MediaSec

Indique si le téléphone initie des négociations de sécurité du plan de support avec le serveur.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <MediaSec_Request_1_ ua="na">Oui</MediaSec_Request_1_>
  • Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins.

Valeurs autorisées : Oui | Non

  • Oui : mode initié par le client. Le téléphone initie des négociations de sécurité du plan de support.
  • Non : mode initié par le serveur. Le serveur initie des négociations de sécurité du plan de support. Le téléphone n'initie pas de négociations, mais peut traiter les demandes de négociation provenant du serveur pour établir des appels sécurisés.

Paramètre par défaut : non

MediaSec sur TLS uniquement

Spécifie le protocole de transport de signalisation sur lequel la négociation de sécurité du plan de média est appliquée.

Avant de définir ce champ sur Oui, assurez-vous que le protocole de transport de signalisation est TLS.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <MediaSec_Over_TLS_Only_1_ ua="na">Non</MediaSec_Over_TLS_Only_1_>

  • Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins.

Valeurs autorisées : Oui | Non

  • Oui : le téléphone initie ou traite les négociations de sécurité du plan de support uniquement lorsque le protocole de transport de signalisation est TLS.
  • Non : le téléphone initie et traite les négociations de sécurité du plan de support indépendamment du protocole de transport de signalisation.

Paramètre par défaut : non

4

Cliquez sur Envoyer toutes les modifications.

Configuration Wi-Fi profil

Vous pouvez configurer un profil de réseau Wi-Fi à partir de la page web du téléphone ou de la resynchronisation de profil de périphérique distant et ensuite associer le profil aux réseaux Wi-Fi disponibles. Vous pouvez utiliser ce profil Wi-Fi pour vous connecter à un réseau Wi-Fi. Actuellement, un seul profil Wi-Fi peut être configuré.

Le profil contient les paramètres requis par les téléphones pour se connecter au serveur téléphonique en Wi-fi. Lorsque vous créez et utilisez un profil Wi-Fi, vous ou vos utilisateurs n'avez pas besoin de configurer le réseau sans fil pour des téléphones individuels.

Un profil de réseau Wifi vous permet de prévenir ou de limiter les modifications apportées à la configuration du réseau Wifi sur le téléphone par l'utilisateur.

Nous vous recommandons d'utiliser un profil sécurisé avec des protocoles de chiffrement activés pour protéger les clés et les mots de passe lorsque vous utilisez un profil Wi-Fi.

Lorsque vous configurez les téléphones pour utiliser la méthode d'authentification EAP-FAST en mode de sécurité, vos utilisateurs ont besoin d'informations d'identification individuelles pour se connecter à un point d'accès.

1

Accéder à la page Web du téléphone

2

Sélectionnez Voix > Système.

3

Dans la section Wi-Fi Profil (n), définissez les paramètres comme décrit dans le tableau suivant Paramètres pour Wi-Fi profil.

La configuration du profil Wi-Fi est également disponible pour la connexion de l'utilisateur.
4

Cliquez sur Envoyer toutes les modifications.

Paramètres de Wi-Fi profil

Le tableau ci-dessous indique la fonction et l'utilisation de chaque paramètre dans la section Profil Wi-Fi sous l'onglet Système de la page Web du téléphone. Elle définit également la syntaxe de la chaîne qui est ajoutée dans le fichier de configuration du téléphone (cfg.xml) pour configurer un paramètre.

ParamètreDescription
Nom du réseauPermet d'entrer un nom pour le SSID qui s'affiche sur le téléphone. Plusieurs profils peuvent avoir le même nom de réseau avec plusieurs modes de sécurité.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Dans la page Web du téléphone, saisissez le nom de l’SSID.

Valeur par défaut : vide

Mode de sécuritéVous permet de sélectionner la méthode d'authentification qui permet de sécuriser l'accès au réseau Wi-Fi. Selon la méthode choisie, un champ de mot de passe apparaît afin que vous puissiez fournir les informations d'identification requises pour rejoindre ce Wi-Fi réseau.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- options disponibles : Auto|EAP-FAST|||PSK||Aucun|EAP-PEAP|EAP-TLS -->

  • Dans la page Web du téléphone, sélectionnez l'une des méthodes suivantes :
    • Auto
    • EAP-FAST
    • Clé pré-partagée
    • Aucun
    • EAP-PEAP
    • EAP-TLS

Valeur par défaut : automatique

ID utilisateur Wi-FiVous permet d'entrer un nom d'utilisateur pour le profil réseau.

Ce champ est disponible lorsque vous définissez le mode de sécurité sur Auto, EAP-FAST ou EAP-PEAP. Ce champ est obligatoire et il peut comporter une longueur maximale de 32 caractères alphanumériques.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Dans la page Web du téléphone, saisissez un ID utilisateur pour le profil réseau.

Valeur par défaut : vide

Mot de passe Wi-FiPermet de saisir le mot de passe pour l'ID utilisateur Wi-Fi spécifié.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Dans la page Web du téléphone, saisissez un mot de passe pour l'ID utilisateur que vous avez ajouté.

Valeur par défaut : vide

Plage de fréquencesVous permet de sélectionner la plage de fréquence du signal sans fil qui est utilisée par le réseau local sans fil.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Dans la page Web du téléphone, sélectionnez l'une des options suivantes :
    • Auto
    • 2,4 GHz
    • 5 GHz

Valeur par défaut : automatique

Sélection de certificatPermet de sélectionner un type de certificat pour l'enregistrement initial du certificat et le renouvellement du certificat sur le réseau sans fil. Ce processus n'est disponible que pour l'authentification 802.1x.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l'aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Certificate_Select_1_ ua="rw">Fabrication installée</Certificate_Select_1_>

  • Dans la page Web du téléphone, sélectionnez l'une des options suivantes :
    • Installation de fabrication
    • Installé sur mesure

Valeur par défaut : Installation en usine